Исследователи Cluster25 собрали и проанализировали документ-приманку, используемый для внедрения варианта вредоносного ПО Graphite, уникально связанного с угрозой, известной как APT28 (она же Fancy Bear, TSAR Team). Документ-приманка представляет собой файл PowerPoint, который эксплуатирует технику выполнения кода, предназначенного для запуска, когда пользователь запускает режим презентации и перемещает мышь. Выполнение кода запускает сценарий PowerShell, который загружает и выполняет дроппер из OneDrive. Последний загружает полезную нагрузку, которая извлекает и внедряет в себя новый PE (Portable Executable) файл, который, как показал анализ, является вариантом семейства вредоносных программ, известного как Graphite, использующего Microsoft Graph API и OneDrive для связи C&C.
Согласно метаданным приманки, злоумышленники использовали шаблон, потенциально связанный с Организацией экономического сотрудничества и развития (ОЭСР). Эта организация работает совместно с правительствами, политиками и гражданами с целью установления международных стандартов, основанных на фактах, и поиска решений ряда социальных, экономических и экологических проблем. Это файл PowerPoint (PPT), содержащий два слайда с одинаковым содержанием, первый из которых написан на английском языке, а второй - на французском. В документе представлены инструкции по использованию опции "Интерпретация", доступной в программе Zoom.
Данный PowerPoint эксплуатирует технику выполнения кода, которая запускается при использовании гиперссылок вместо Run Program / Macro, которые предназначены для запуска, когда пользователь запускает режим презентации и перемещает мышь. Выполняемый код представляет собой сценарий PowerShell, показанный ниже, который запускается через утилиту SyncAppvPublishingServer и выполняет загрузку файла из OneDrive с расширением JPEG (DSC0002.jpeg). Это, в свою очередь, DLL-файл, который позже расшифровывается и записывается в локальный путь C:\ProgramData\lmapi2.dll.
Fancy Bear (APT28) APT IOCs
Indicators of Compromise
Domains
- 9b5uja.am.files.1drv.com
- kdmzlw.am.files.1drv.com
URLs
- https://kdmzlw.am.files.1drv.com/y4mv4glUgvW9nl8z8GU71PhPw0oRtve9QpZ0pEgwJN1q_TlGY5yl5Mvkrc5rUh0Uxxknlr1qymWyCbPrkKOFgL4CARScSn9UMhq3c5hSNOQsDOamYLmOfN61lUtQO10vxtn0I7QROJdOtQ42wDsaiACGR5ZrmYwt0SmZkphGWQpT2gOFrsUxjg8_7QT01VTABiGr3T6xpWrTmFT5yu4toQ/DSC0001.jpeg?download"
- https://9b5uja.am.files.1drv.com/y4mpYJ245I931DUGr7BV-dwLD7SReTqFr1N7eQOKSH_ug2G18Jd6i3SRqYqgugj3FA2JQQ7JqclvWH13Br3B5Ux-F6QcqADr-FowC_9PZi1Aj7uckcK8Uix_7ja1tF6C_8-5xYgm6zwjbXsrlEcTEenAyA8BzEaGPudutl1wMDkzVr6Wmn8_qRmYejLgbNoQmPTUe3P5NKFFLRjeeU_JhvA/DSC0002.jpeg?download
MD5
- 2ff3e6c9244ef965295aa60879d1aa6b
- 9a915313d02345e149e6ba566fe85c47
- c0060c0741833af67121390922c44f91
- ef1288de782e65d6e5bd6a327157988f
SHA1
- 4c813ad68f2f1da6b2c59d11ad983cfa65e1a187
- 622eb93e34445c752eeaa623ef9ac6978e58f2fc
- 9cd7f14d85814c48be3fbf73891415978a7aa882
- a23efb6aa5a242c61c5d50a967a8f29da164c954
SHA256
- 34aca02d3a4665f63fddb354551b5eff5a7e8877032ddda6db4f5c42452885ad
- be180a7c43734b7125b2d5cea7edd0174811a58113b048f5fe687db52db47fe3
- d1bceccf5d2b900a6b601c612346fdb3fa5bb0e2faeefcac3f9c29dc1d74838d
- efa5b49bdd086125b2b7d4058d09566f1db5f183c2a6332c597322f85107667a
Snort Rules
1 2 3 4 5 6 7 8 9 | alert tcp any any -> any any ( msg:"Cluster25 APT28 Graphite CnC Communication via client_id"; content:"POST"; http_method; content:"client_id=62272a08-fe9d-4825-bc65-203842ff92bc"; http_client_body; fast_pattern; sid:10001; ) |